Le 29/08/2011 13:22, Yves Martin a écrit :
> On Mon, 2011-08-29 at 11:47 +0200, guilde@??? wrote:
>> Hello folks,
>>
>> Comment empêcher, inconditionnellement, un utilisateur "normal" de
>> mettre des permissions trop élevées sur ses fichiers ? umask ne règle le
>> pb que pour les valeurs par défaut, mais n'empêche pas que l'utilisateur
>> change les permissions ensuite.
>>
>> Scanner les fichiers après coup est trop lent et trop tard. Et je
>> deviens dingue à force d'expliquer que non, on ne suit pas les conseils
>> de joomla qui dit de tout passer en 777 pour installer... et de ne pas
>> le faire non plus via FTP avec Filezilla ou autre.
> Salut,
>
> Question très intéressante, j'ai creusé et te propose d'utiliser les
> notifications provenant du kernel par inotify pour déclencher un script
> qui teste et retire les permissions "other" à la volée.
>
> On peut imaginer exclure les utilisateurs éduqués de ce mécanisme par un
> simple test d'appartenance à un groupe particulier.
>
> Évidemment pour faire un prototype (avant de coder en C éventuellement),
> il vaut mieux commencer par un script en "root" à base de
> "inotify-tools":
> https://github.com/rvoicilas/inotify-tools/wiki/
>
> Quelques exemples:
> http://ubuntuforums.org/showthread.php?t=950939
> http://ubuntuforums.org/showthread.php?t=1555675
>
> Par contre, je m'inquiète de la latence que tu pourrais obtenir lors
> d'une extraction d'archive qui en général dépose le fichier puis modifie
> les permissions. Ton script "inotify" déclenchera donc deux fois par
> fichier. Bref je pense que tu constateras rapidement le besoin d'écrire
> ton code en C pour des raisons de performance et de confort utilisateur.
Hello,
Oui, je connais inotify. J'espérais éviter, d'autant qu'il faut qu'un
démon tourne en permanence, et si pour une raison quelconque il stoppe,
plus de protection.
Samuel m'a proposé d'utiliser des ACL. Faut que je me plonge dedans
aussi. Il n'y a probablement pas de solution simple...
Cheers
--
-- Jean-Marc Coursimault